- SafeDepの研究者がMegalodonを発見しました。これはTeamPCPに着想を得たキャンペーンで、CI/CDシークレットを狙うインフォスティーラーで5,500以上のGitHubリポジトリに感染させています
- このワーム型の攻撃は、偽の「build-bot」からの悪意あるコミットを通じて拡散し、クラウドキー、SSH認証情報、DevOps設定を盗んでおり、Tiledeskのようなnpmパッケージが汚染されたリポジトリから無意識に公開されています
- TeamPCPのフォーラム「競争」とは異なり、Megalodonは最近のサプライチェーン攻撃に動機付けられた別の模倣アクターのようであり、保守者とダウンストリームユーザーの両方にリスクをもたらします
最初のTeamPCP模倣者が出現したようで、Megalodonと呼ばれています。
先週後半、セキュリティ研究者SafeDepが、5,500以上のGitHubリポジトリが被害者開発者のCI/CDパイプラインからあらゆる種類のシークレットを盗み取るインフォスティーラーに感染していることを報告しました。
ブログに公開された詳細なレポートで、SafeDepは攻撃が提出された悪意あるコミットから始まると説明しました。「build-bot」という脅威アクターは、自動化されたコミットを提出するボットになりすましました。インフォスティーラーを搭載したこれらのコミットが保守者に受け入れられた場合、古典的なワーム方式で他のリポジトリに拡散する前に、あらゆる種類のシークレットを盗みます。
とりわけ、MegalodonはAWSシークレットキーとGoogle Cloudアクセストークン、AWS、GCP、およびAzureのインスタンスロール認証情報、SSH秘密鍵、DockerおよびKubernetes設定、Vaultトークン、Terraform認証情報などを盗んでいることが観察されました。
npmへのプッシュ
攻撃のこの段階では、リスクにさらされているのはGitHub保守者だけです。ただし、彼らが多くのリポジトリをnpmにプッシュする場合、エンドユーザーも侵害される可能性があります。SafeDepはこのシナリオがTiledeskの保守者にどのように起こったかを詳しく説明しました。
「バージョン2.18.6(5月19日)から2.18.12(5月21日)まではすべてバックドアを含んでいます。同じnpmアカウント、eljohnny([email protected])がクリーンなバージョン2.18.5と侵害されたバージョンの両方を公開しました。攻撃者はnpmアカウントに触れませんでした。彼らはGitHubリポジトリを侵害し、保守者はそれに気付かないまま汚染されたソースから公開しました。」
記事の中で、The RegisterはTeamPCP(現在GitHubとnpmを狙う脅威アクターとして知られています)が最近Breach Forumsで「サプライチェーン攻撃競争」を開始したと述べていますが、Megalodonはおそらくその競争の一部ではないことを強調しています。
代わりに、これはTeamPCPの活動に単に動機付けられて独自の悪意あるキャンペーンを開始した、完全に別の脅威アクターのようです。
侵害されたリポジトリの完全なリストはこのリンクで見つけることができます。
